我的服务器每隔五分钟就会向我的电子邮件发送以下错误消息:
OSSEC HIDS 通知。2011
年 6 月 17 日 16:30:03接收自:ubuntu->/var/log/syslog
规则:1002 触发(级别 2)->“系统中某处出现未知问题。”
部分日志:6月18日 08:30:01 ubuntu CRON[16935]: (www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)
你知道它的含义吗?
答案1
我相信,看看下面的这条规则,基本上如果我没记错的话,这就是 OSSEC 失败的地方,最终触及这条规则。当出现新的未知系统日志时,总会触发此规则,而在您的情况下,这是它不知道的 Cacti 轮询日志。
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
您需要添加规则来匹配好的系统日志,并编写规则来对坏的系统日志发出警报。
OSSECs 网站对此进行了解释 http://www.ossec.net/wiki/Know_How:Email_Alerts_below_7